O documento fornece diretrizes para planejamento correto de implementação do Forefront TMG, incluindo dimensionamento de hardware, arquitetura de rede, configuração de sistema operacional, backup e atualizações. É destacada a importância de separar discos, processamento e memória para diferentes funções e evitar gargalos.
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
Planejando TMG
1. Planejando corretamente
Uilson Souza
Sr. IT Projects Analyst
MCTS ISA Server 2006
MTAC – Microsoft Technical Audience Contributor
http://uilson76.wordpress.com
souzajr.nc@uol.com.br ou usouzajr@gmail.com
2. Agenda
•Entendendo o ambiente
•Como seu ambiente irá funcionar
•Arquitetura de rede e features do produto
•Hardware – disco/processamento/memória
•Sistema Operacional, DNS e Active Directory
•Placas de Rede, Log e cache
•Enterprise Management Server e Backup
•Network Load Balance
•Proxy transparente
•Atualizações no produto
•Para quem ainda usa ISA Server
•Referências para estudo
3. Entendendo seu ambiente
Topologia do ambiente
Fluxo de acesso internet
Tipo de usuário no ambiente – High, medium, low?
Redes, VLAN s, Firewalls, etc
Tamanho e quantidade de links da corporação
Objetivos do acesso internet
4. Como seu ambiente
irá funcionar
O que você precisa? Como você precisa?
Qual a funcionalidade do Forefront TMG para a
corporação?
Que tipo de equipamento você irá usar? Appliance,
VM, Servidor físico?
O Forefront TMG ficará na rede interna? Será backfirewall ou ficará na borda?
5. Arquiteturas de rede e
features do produto
Qual arquitetura usar? Edge, 3-Leg Perimeter, Back
Firewall, Single Network Adapter
6. Arquiteturas de rede e
features do produto
Existem diversas implementações
de TMG usando Single Network
Adapter com regras configuradas
de forma errada, causando
problemas de performance e
tornando o ambiente “não
suportado”
http://technet.microsoft.com/en-us/library/cc995236.aspx
7. Hardware
Disco/Processamento/Memória
Um dos grandes erros na montagem do servidor ocorre na
arquitetura dos discos.
Fundamental que haja separação do disco de SO/TMG,
Cache o Log
O resultado desta má configuração são problemas de
gargalo de disco causando lentidão para quem acessa o
servidor e também para o usuário final.
8. Hardware
Disco/Processamento/Memória
A arquitetura de discos sempre
deverá seguir o modelo ao lado.
Arrays separados montados em
RAID1 (que é mais performático),
ou RAID10, dependendo da
quantidade de discos
OBS: Os tamanhos descritos na imagem ao lado são apenas
exemplos
9. Hardware
Disco/Processamento/Memória
Para memória – nada inferior a 4 ou 8 GB de RAM
Processamento – mínimo de 2 processadores para
máquinas virtuais ou 1 quadcore para servidores físicos
Lembrando que a licença do Forefront TMG é vendida por
processador e este planejamento também influi em custos
Publicação Web também é um fator que deve ser analisado,
pois, vai consumir processamento
10. Hardware
Disco/Processamento/Memória
O dimensionamento de memória e processamento também
é influenciado pelo número de usuários, tipo de acesso a
internet, etc.
Features como SSL Inspection, Network Inspection, URL
Filtering, etc, devem obrigatoriamente ser consideradas no
que tange a processamento e memória.
Atenção também para método de gravação de log s,
possíveis commits de LLQ s, etc.
11. Hardware
Disco/Processamento/Memória
Mesmo após um bom dimensionamento, alguns problemas
podem surgir em ambientes onde o acesso internet não é
controlado, ou ambientes que recebam muitos acessos.
Nesses casos, existem métodos de configuração que evitam
Lock Down mode e também Syn Flood:
http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg
12. Sistema Operacional, DNS e
Active Directory
A versão correta do Windows Server 2008 deverá
escolhida de acordo com o tamanho da sua infra.
ser
O Windows Server 2008 R2 Std até pode ser usado, porém,
em ambientes pequenos em que a função do TMG se
resuma a proxy e cache.
Caso haja necessidade de VPN, a versão standard do
Windows suporta até 250 conexões.
13. Sistema Operacional, DNS e
Active Directory
Não instalar o produto sem antes se certificar que o Windows
está totalmente configurado e os patches instalados.
A falta de patches pode causar problemas no comportamento
não só do TMG, mas, também do próprio sistema
operacional, além de deixar o equipamento sujeito a brechas
de segurança.
Não funciona no Windows Server 2012
14. Sistema Operacional, DNS e
Active Directory
Verificar a saúde do seu servidor DNS e configurações antes
de implementar sua infra estrutura do Forefront TMG
Qualquer problema no DNS afeta a performance e a
resolução de nomes no servidor do Forefront TMG
De preferência criar seu DNS Zone na sua infra de servidores
AD, fazendo Forwarding para o DNS que faz as resoluções
externas
15. Sistema Operacional, DNS e
Active Directory
A mesma recomendação se faz necessária para seu Domain
Controller.
É através dele que o Forefront TMG analisa as permissões
por usuário nas regras e é nele que o produto busca as
informações de usuário.
Em infras com vários sites, verifique sempre se o seu servidor
Forefront TMG buscando autenticação no AD da própria
localidade.
16. Sistema Operacional, DNS e
Active Directory
Abaixo um link para um post onde o MVP Alberto Oliveira
narra um caso onde a configuração equivocada do AD pode
causar problemas na infra de proxy:
http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case
17. Placas de Rede, Log e cache
Em infras com arquitetura edge ou outra diferente de Single
Network Adapter, prestar atenção no Bind Order. Placa
Interna sempre com prioridade!
Sempre sincronize a velocidade da sua placa com a do seu
roteador. Evite o “Auto Negotiation”
Toda rede criada no Forefront TMG deverá estar atrelada a
uma placa.
http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network configuration-on-forefront-tmg.aspx
18. Placas de Rede, Log e cache
Ambientes com duas placas de rede:
•Gateway sempre na rede externa
•Roteamento para rede interna via rotas estáticas
•DNS – preferencialmente usar resolução interna e externa a
partir da placa da rede interna
19. Placas de Rede, Log e cache
Log s sempre sendo gravados em um disco próprio em array
ou LUN separada do SO e Cache.
Ambientes com mais de 10.000 usuários – recomendável
não usar o SQL Express e direcionar a criação de log s para
um servidor SQL através de uma rede separada.
Cuidado ao direcionar log s para um servidor SQL! Alguns
comandos devem ser aplicados previamente:
http://technet.microsoft.com/pt-br/library/dd441079.aspx
20. Placas de Rede, Log e cache
Atenção para o tempo de retenção dos log s. Influencia no
espaço em disco e nas informações que você poderá
precisar em um eventual relatório.
Log s em TXT são mais performáticos, porém, não é possível
acessar registros passados.
21. Placas de Rede, Log e cache
Da mesma forma que o Log, o serviço de cache deverá ter
seu próprio disco ou LUN para evitar problemas de gargalo.
Não crie arquivos de log muito grandes. Isso só causa
problemas. Siga o padrão definido pela Microsoft:
100 MB + 0.5 MB * número de usuários:
http://msdn.microsoft.com/en-us/library/cc750618.aspx
24. Enterprise Management Server
e Backup
O backup de uma infra Forefront TMG deve se basear
no servidor do EMS ou no Array Manager
Manter sempre backup do array e/ou regras criadas
no Forefront TMG. Pode ser feito via scrip ou manual.
Cuidado na implementação das Redes de Backup
http://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backupno-forefront-tmg/
25. Network Load Balance
Analisar bem o tráfego de sua rede
Para ambientes TMG em VM´s verificar
recomendações do fornecedor do Host Físico
as
NLB Microsoft suporta até 500 mbps de tráfego. Além
disso é recomendado o uso de um Balanceador
Externo
26. Network Load Balance
Em ambientes grandes utilizar sempre Multicast
Detalhe Importante:
A Microsoft não suporta cenários em que a estrutura
possua balanceadores externos com estações
usando o Forefront TMG Firewall Client:
http://technet.microsoft.com/en-us/library/ee796231.aspx
27. Proxy Transparente
Forma de se configurar o proxy transparente no TMG:
•Duas placas de rede no padrão Edge
•IP da interface Interna como default gateway da rede
•Servidor deverá ser capaz de rotear para toda rede
•Criar regra habilitando HTTP e HTTPS da interna
para externa com acesso para All Users
•Os acessos ocorrerão por SecureNat
28. Proxy Transparente
Pontos de atenção:
•SecureNAT não faz autenticação
•Não é possível restringir acessos nas regras por
usuário
•Qualquer outro tipo de acesso diferente de All Users
requer configuração de proxy explícito
29. Atualizações no produto
É importante saber qual versão do produto se está
lidando quando se faz um assessment ou um primeiro
contato:
http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-aversao-do-forefront-tmg-pt-br.aspx
Produto atualmente na versão SP2 Rollup 2
30. Para quem ainda usa o ISA Server
Não adianta usar mais que 4 GB de RAM – 32 Bits
Nunca use /3GB no Boot.ini – O engine FWENG roda
em Kernel
Demais recomendações iguais ao Forefront TMG
31. Para quem ainda usa o ISA Server
Migrar urgente para o Forefront TMG!
32. Referências para Estudo
Forefront TMG Hardware Recommendations
http://technet.microsoft.com/en-us/library/ff382651.aspx
Forefront Deployment Resources
http://www.microsoft.com/forefront/en/us/deployment.aspx
Microsoft Forefront TMG Case Studies
http://www.microsoft.com/forefront/threat-management-gateway/en/us/casestudies.aspx
33. Referências para Estudo
Guia de sobrevivência Forefront TMG no Technet Wiki:
http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx
Forum Technet – Forefront TMG:
http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads
Microsoft Space:
http://uilson76.wordpress.com
Treinamento Online Forefront TMG:
http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefronttmg/
34. A Microsoft ajuda vc a planejar!
Forefront TMG Capacity Planning Tool
http://www.microsoft.com/en-us/download/details.aspx?id=15196
35. Planejando corretamente
Obrigado pelo tempo dispensado!
Uilson Souza
Sr. IT Projects Analyst
MCTS ISA Server 2006
MTAC – Microsoft Technical Audience Contributor
http://uilson76.wordpress.com
souzajr.nc@uol.com.br ou usouzajr@gmail.com